- tocdepth
2
Настройка OpenID федерации
Cloud.ru позволяет подключать федерации удостоверений совместимые с OpenID Connect (OIDC).
Создать OpenID федерацию
Перейдите в раздел Администрирование, на вкладку Федерации.
Нажмите Создать федерацию.
Выберите тип протокола — OpenID.
Заполните параметры федерации:
Параметр
Описание
Название
Краткое отображаемое наименование федерации (слитно). Уникальность имени необязательна.
Описание
Пояснительный текст о федерации. Например, указание того, для чего создана федерация.
Длительность сессии
Максимальное время жизни SSO сессии. Может быть установлено значение от 30 мин до 7 дней.
Если пользователь не проявляет активности в течение заданного в параметре времени, сессия завершится, а пользователь должен будет заново пройти аутентификацию.
Если пользователь активен, время сессии зависит от того, поддерживает ли настроенная федерация механизм refresh-токенов:
Если механизм refresh-токенов не поддерживается, то сессия будет завершена через время, указанное в параметре «Длительность сессии».
Если механизм refresh-токенов поддерживается, то при истечении access-токена приложение может использовать refresh-токен для получения нового access-токена. Так сессия пользователя может быть активна, пока не истечет время жизни refresh-токена — 7 дней.
Auth URL
URL-адрес HTTP-запроса к ресурсу сервера способного аутентифицировать и авторизовать конечного пользователя. Предусмотрен стандартом OpenID Connect (OIDC). Указан в поле authorization_endpoint протокола обнаружения (.well-known/openid-configuration).
Userinfo URL
Защищенный ресурс, который при предъявлении токена возвращает авторизованному клиенту информацию о текущем пользователе. Предусмотрен стандартом OpenID Connect (OIDC). Указан в поле userinfo_endpoint протокола обнаружения (.well-known/openid-configuration).
Token URL
Ресурс на сервере авторизации, обеспечивающий выдачу токенов. Предусмотрен стандартом OpenID Connect (OIDC). Указан в поле token_endpoint протокола обнаружения (.well-known/openid-configuration).
Logout URL
Адрес, на который перенаправляется федеративный пользователь после завершения сессии. Предусмотрен стандартом OpenID Connect (OIDC). Указан в поле end_session_endpoint протокола обнаружения (.well-known/openid-configuration).
Client ID
Уникальный идентификатор вашего корпоративного провайдера идентификации.
Client Secret
Общий секретный ключ.
JWKS URI
Предусмотрен стандартом OpenID Connect (OIDC). Указан в поле jwks_uri протокола обнаружения (.well-known/openid-configuration).
Нажмите Создать.
Добавить федеративных пользователей
В разделе Пользователи откройте вкладку Федеративные пользователи.
В правом верхнем углу нажмите Добавить пользователя федерации.
Выберите федерацию, в которую нужно включить пользователя.
Укажите email сотрудника. Можно добавить сразу несколько пользователей, если ввести их email через запятую или пробел.
Наделите пользователя необходимыми правами на проекты и платформы. Подробнее о логике ролей смотрите в статье Роли пользователей Cloud.ru.
Нажмите Добавить.
Профиль пользователя появится на вкладке Федеративные пользователи.
Пользователю также будет автоматически отправлено письмо со ссылкой на вход, ID федерации и инструкцией по входу.
Перейдите в раздел Администрирование, на вкладку Федерации.
Скопируйте ID федерации в строке с нужной федерацией. Передайте его пользователям, чтобы они смогли войти в личный кабинет.
Примечание
Прямая ссылка для входа по SSO — https://console.cloud.ru/?iam_idp=%ID_федерации%.
ID вашей федерации можно получить у администратора организации.
Обратите внимание, что если по ссылке перейдет сотрудник, у которого нет учетной записи в личном кабинете, учетная запись для него будет создана автоматически. Она отобразится в списке федеративных пользователей в разделе Пользователи. У такого пользователя не будет прав для доступа к проектам, пока их не назначит администратор организации.
для Dev & Test